关键信息 漏洞概述 CVE编号: CVE-2025-51534 漏洞类型: Stored Nested XSS "Delete" Button 严重性: 未指定 影响产品: OpenAtlas - Stored Nested XSS "Delete" Button 元数据 CVE ID: CVE-2025-51534 产品: OpenAtlas 制造商: Academy of Sciences 报告者版本: v1.0.5 CVSS评分: 6.1 CWE: CWE-79 参考链接: - OpenAtlas Product Access - Academy of Sciences Website 弱点描述 问题: 在删除按钮中存在存储型XSS漏洞,攻击者可以通过嵌套的XSS攻击来利用此漏洞。 影响: 攻击者可以注入恶意脚本,导致用户在不知情的情况下执行恶意操作。 影响范围 受影响组件: 删除按钮 潜在风险: - 数据泄露 - 用户会话劫持 - 网站内容篡改 厂商声明 厂商回应: 已确认该漏洞,并计划在下一个版本中修复。 推荐措施 建议: 升级至最新版本v1.0.6。 概念验证 / 证明 代码示例: 提供了HTML和JavaScript代码示例,展示了如何触发该漏洞。 时间线 发现日期: 2025年1月1日 报告日期: 2025年1月5日 公开日期: 2025年1月10日 修复发布日期: 预计2025年1月15日 致谢 感谢发现并报告该漏洞的安全研究人员。